Ana Sayfa » *nix » CentOS üzerinde Fail2Ban ile Brute Force Önlemi

CentOS üzerinde Fail2Ban ile Brute Force Önlemi


BerbatKötüİdare EderGüzelHarika (Toplam 7 oy. 5 puan üzerinden ortalama 5,00 || Oy vererek siz de katkıda bulunabilirsiniz.)
Loading...

Warning: mysqli_query(): (HY000/3): Error writing file '/tmp/MYY7hQAK' (Errcode: 28 - No space left on device) in /usr/share/nginx/html/syslogs/wp-includes/class-wpdb.php on line 2349
Sunucunuzda, internet üzerinden direk erişilebilir ve güvenliği sadece şifre ile sağlanan servisleriniz varsa, log dosyalarınızda birilerinin şifre deneme yöntemi ile ilgili servis üzerinde yetki elde etme teşebbüslerini tespit edebilirsiniz. Örnek olarak sunucunuzdaki SSH servisi default (22.) porttan çalışıyor ve herhangi bir erişim kontrol mekanizması (firewall vs.) kullanmıyorsanız bu durumla bol bol karşılaşmanız kaçınılmazdır. (ve umarım güçlü bir şifre kullanıyorsunuzdur.)

Ancak sunucunuza herhangi bir nedenle erişim kontrolü uygulayamıyorsanız ve gerçekten de ilgili servislere (örneğin ssh) herhangi bir yerden erişilmesi gerekiyorsa en azından fail2ban kullanabilir ve sunucunuzun brut force attack ile ele geçirilme riskini minimize edebilirsiniz. Fail2ban, sunucunuzun log dosyalarını takip ederek, sizin belirlediginiz bir sayının üzerinde başarısız login girişimininde bulunan birinin IP adresini gene sizin belirlediğiniz bir süre boyunca reject etmeye yarayan güzel bir python uygulamasıdır.

Bu yazıda, Iptables ya da tcpwrapper (hosts.deny) kullanarak sshd, vsftpd, proftpd, apache, lighttpd gibi uygulamalar için başarısız login denemelerinde (ya da sizin belirlediğiniz herhangi bir aksiyonda) ilgili aktivitenin kaynak ip'sini belirli bir süre banlamak için kullanılan bu güzel uygulamanın kurulumu, yapılandırması ve özelleştirilmesinden bahsedeceğim.

Fail2ban Nedir ?


Yukarıda kısaca değindiğim gibi fail2ban belirli servislere ait log dosyalarını takip ederek başarısız login girişimlerini tespit eder ve bu denemeler belirli bir sayıya ulaştığı zaman ilgili aktivitenin kaynak IP'si için Iptables'a bir drop kuralı ekler. Sisteminizde iptables yoksa ya da iptables kullanmak istemiyorsanız aynı şeyi tcpwrapper ile de yapabilir ve ilgili IP adresini hosts.deny dosyasına ekler. Ancak bu durum sadece tcpwrapper kullanan (örn: sshd) servisler için geçerlidir. Mesela apache tcpwrapper kullanmaz bu nedenle apache için iptables kullanmanız gerekir.

Fail2ban ile reject edilen IP adresleri için öntanımlı olarak 5 dakikalık bir ban süresi bulunmaktadır. Ban süresi dolan IP adresleri için girilen drop kuralları (ya da hosts.deny girdileri) sistemden kaldırılır. Sonuç olarak ban durumu kalıcı değildir ve süre sonunda ilgili IP adresleri tekrardan erişim sağlayabilirler.

Bunun yanı sıra, Fail2ban, banlanan ipleri mail yolu ile raporlayabilir; böylece sunucudaki aktivite ile ilgili bilgi edinebilirsiniz.

Bu kısa bilgilendirmeden sonra kurulum ve yapılandırma kısmına geçebiliriz.

Fail2Ban Kurulumu


Fail2ban tüm dağıtımlarda ve FreeBSD gibi BSD tabanlı sistemlerde (netfilter ya da ipfirewall ile) kullanılabilmektedir ve hemen her *nix dağıtımı için precompiled paketi bulunmaktadır;  yani sisteminize ait paket yöneticisini kullanarak kurmanız mümkündür.

Ancak ben (yazının başlığında da geçtiği gibi) Fail2ban'ın üzerine kurulmasından bahsedeceğim. Ayrıca, fail2ban'ın rpm paketleri rpmforge paket deposunda bulunmasına karşın, sürümü eski olduğundan dolayı kaynak koddan son sürümün yüklenmesinden bahsedeceğim.

Gereksinimler

Fail2ban kurmak için steminizde öncesinde python paketin kurulu olması gerekir. Bu nedenle öncelikle yum kullanarak python yükleyelim.

# yum install python

Bunun dışında, iptables üzerinden ban işlemi yapabilmeniz için sistemde iptables yüklü olmalıdır. Iptables, sistemlerde default olarak geldiğinden dolayı kurulumla ilgili ekstradan bir işlem yapmanıza gerek bulunmaz. Ancak iptables devrede olmalıdır. Bu nedenle şimdi iptables servisini (eğer değilse) start edin.

# service iptables start

ve startup'a ekleyin.

# chkconfig iptables on

Python ve iptables konusundan sonra fail2ban kurulumuna geçebilirsiniz. Ancak bu noktada syslog ile fail2ban arasındaki bir uyumsuzluğa dikkat çekmek istiyorum.

Fail2ban ve Syslog Problemi

Fail2ban'ı loglama için syslog kullanan herhangi bir servis (örneğin ssh servisi) için kullanmak isterseniz, syslog'un, aynı içeriğe sahip tekrarlanan mesajları log dosyasına satır satır yazmak yerine  belli bir süre sonra “last message repeated n times” ibaresi düşmesi nedeni ile fail2ban'dan efektif olarak yararlanamayabilirsiniz. Zira fail2ban, reject işlemi yapmak için log dosyasındaki fail satırlarını sayar ve syslog'un bu durumu fail eden login denemelerinin banlanması için belirlediğiniz eşik sayısında sapmaya neden olur. Eğer birisi ard arda süratlice login denemesi yaparsa bu denemeler log doslinyasına “last message repeated n times” şeklinde yazılacağından dolayı banlama işlemi gerçekleşmeyebilir.

FreeBSD gibi sistemlerde syslogd'yi -c parametresi ile çalıştırarak bu durumun önüne geçmek mümkündür ancak ve benzeri dağıtımlarda bu özellik bulunmamaktadır. Bu nedenle, sapmayı göze almak ya da syslog yerine rsyslog kullanmak gibi iki seçeneğiniz bulunuyor. Zira rsyslog, syslogda bulunmayan bu özelliği sunmaktadır.

Bu nokta da benim tavsiyem, syslog'un geliştirilmiş versiyonu olduğundan ve kurulumun hemen ardından syslog'un yerini tüm özellikleri ile kolayca aldığından dolayı rsyslog kullanmanızdır. (Ayrıca rsyslog Debian sistemlerde öntanımlı olarak syslog yerine kullanılmaktadır.)

rsyslog kullanmak isterseniz yum kullanarak kolayca kurabilirsiniz. Daha önce rsyslog kurulumu üzerine bir yazı yayınlamıştım. Bkz: http://www.syslogs.org/2009/08/centos-uzerine-rsyslog-kurulumu-ve-yapilandirmasi/ . Yazıda anlatıldığı şekilde kurulumu yaptıktan sonra, tekrarlanan logların teker teker yazması için /etc/rsyslog.conf dosyanıza aşağıdaki parametreyi eklemeniz gerekir.

$RepeatedMsgReduction off

Not: Bu eklemeyi yaptıktan sonra rsyslog servisini yeniden başlatmayı unutmayın.

syslog ya da rsyslog'dan birisine karar verdikten sonra kuruluma geçebilirsiniz.

Kurulum

Deminde bahsettiğim gibi son sürümü kullanabilmek için kurulumu kaynak koddan yapıyorum. Bu nedenle şimdi /usr/local/src/ dizinine geçerek son http://sourceforge.net/projects/fail2ban/files/ adresinden fail2ban'ın son sürümünü download edelim.

(Şu an son sürüm 0.8.4'tür. Siz download etmeden önce kontrol edin.)

# cd /usr/local/src
# http://downloads.sourceforge.net/project/fail2ban/fail2ban-stable/fail2ban-0.8.4/fail2ban-0.8.4.tar.bz2?use_mirror=ignum

Şimdi tar.bz2 dosyasını açıp kurulumu yapmak için fail2ban dizinine geçiyoruz.

# tar xjvf fail2ban-0.8.4.tar.bz2
# cd fail2ban-0.8.4

Kurulum aşağıdaki gibi setup.py scripti üzerinden yapılmaktadır.

# python setup.py install

Yükleme işlemi bittikten sonra fail2ban binary dosyaları /usr/bin dizinine, yapılandırma dosyaları ise /etc/fail2ban dizinine konulur.
Ancak yapılandırmaya başlamadan önce fail2ban'ı sisteme servis olarak ekleyelim.

# cp /usr/local/src/fail2ban-0.8.4/files/redhat-initd /etc/init.d/fail2ban
# chmod 755 /etc/init.d/fail2ban
# chkconfig --add fail2ban
# chkconfig fail2ban on

Şimdi fail2ban'ı start edelim. (Ön tanımlı ayarlarda herhangi bir servis için ban özelliği aktif değildir.)

# service fail2ban start

Herhangi bir sorunla karşılaşmadıysanız şimdi yapılandırma bölümüne geçebilirsiniz.

Fail2ban Yapılandırması


Fail2ban'ın ana yapılandırma dosyası sistemde /etc/fail2ban/ dizini altında jail.conf ismi ile bulunur. Düzenlemeleri yapmadan önce dosyanın önemli bölümlerine göz atalım.

Dosyanın default segmesinde bulunan aşağıdaki 4 bölümde genel geçer düzenlemeleri yapabilirsiniz.

ignoreip = Görmezden gelinecek ip'ler. Buraya kendi ip'lerinizi ekleyerek, kendi kendinizi blocklamanın önüne geçebilirsiniz. (CIDR mask kullanılabilir.)

bantime = Bir host'un saniye cinsinden banlı kalacağı süreyi belirtir. Öntanımlı olarak 600 saniye.

findtime = Bir hostun banlanması için saniye cinsinden başarısız login girişiminde bulunma periyodu. Öntanımlı 600 saniye.

maxretry = Bir hostun banlanması için gereken maksimum başarısız login denemesi. Öntanımlı 3

Yukarıdaki bu değerlerin dışında, belli başlı servisler için conf dosyası içinde default tanımlamalar yapılmıştır. Örnek olarak sshd servisi için login denemelerini takip ederek iptables ile banlamak için kullanılan tanım satırları aşağıdaki gibidir.

[ssh-iptables]
enabled  = false
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath  = /var/log/sshd.log
maxretry = 5

Opsiyonlar ve anlamları şunlardır:

enable = SSH servisi için fail2ban'ın devreye alınıp alınmayacağının tanımlandığı bölüm. Öntanımlı olarak “false”dur. Devreye almak için “true” yazmanız gerekir.

filter = Hangi filtrenin kullanılacağı belirtilir. Bu filtreler /etc/fail2ban/filter.d dizininde bulunur. SSH için filtre /etc/fail2ban/filter.d/ssh.conf dosyasıdır ve sshd log dosyası içerisinde aranacak ifadelere ait regex cümlelerini içerir.

action = Banlanması gereken hostlar'la ilgili alınacak aksiyonlar belirlenir. Bu örnekte action iptables'dır. Aksiyon tanımlamaları /etc/fail2ban/action.d dizininde bulunur. Bu örnek için ilgili conf  /etc/fail2ban/action.d/iptables.conf dosyasında tanımlıdır.

sendmail = Ban olaylarını mail yolu ile raporlamak için kullanılan yapılandırma bölümüdür.

logpath = Servise ait log dosyasının tam yolu ve dosya adı.

maxretry = Kaç başarısız login işleminden sonra ban işlemi yapılacağı.

Genel olarak yapılandırma ayarları bunlardır.

Şimdi ssh servisi için önce Iptables sonra da tcpwrapper kullanarak ban işlemi için gerekli düzenlemeleri yapalım.

Fail2ban'ı SSH servisi için Iptables Kullanmak Üzere Yapılandırmak

Bu bölümde yapmanız gereken, conf dosyası içinde yukarıda da  bir örneği görülen [ssh-iptables] segmesini kendi sistemimize göre düzenlemektir:

CentOS sistemler için ayarlar şu şekilde olmalıdır.

[ssh-iptables]
enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath  = /var/log/secure
maxretry = 5

Gördüğünüz gibi enable'ı true yapıp, logpath'i /var/log/secure olarak düzenledik.

Şimdi fail2ban'ı restart edelim.

# service fail2ban restart

Şu an fail2ban ssh için devrede eğer ssh üzerinden 5 kez yanlıış şifre girerseniz 5 dakikalığına banlanırsınız. (syslog kullanmanız durumunda 5 denemeden fazlası gerekebilir.)

Not: Testler sırasında bantime değerini kısa bir süreye çekmek iyi bir fikirdir.

Banlanan ip'ler ile ilgili bilgi /var/log/fail2ban.log dosyasına yazılır. Örnek bir ban ve unban çıktısı şu şekildedir:

2010-01-31 21:00:00,861 fail2ban.actions: WARNING [ssh-iptables] Ban 192.168.12.12
2010-01-31 21:04:09,550 fail2ban.actions: WARNING [ssh-iptables] Unban 192.168.12.12

Ayrıca, iptables kurallarına bakarsanız ilgili ip için eklenen drop kuralını görebilirsiniz.

Chain fail2ban-SSH (1 references)
target     prot opt source               destination
DROP       all  --  192.168.12.12        0.0.0.0/0
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Aynı işi iptables yerine tcpwrapper ile de yapmak mümkündür.

Fail2ban'ı SSH servisi için Tcpwrapper  Kullanmak Üzere Yapılandırmak

Sisteminizde iptables yok ya da özellikle iptables kullanmak istemiyorsanız fail2ban aynı işi tcpwrapper kullanarak da yapabilir. Bu durumda banlama işlemi için iptables kuralı eklemek yerine banlanacak ip'leri /etc/hosts.deny dosyasına ekler. Sonuç olarak SSH servisi tcpwrapper kullandığı için fail2ban'ı bu şekilde de yapılandırabilirsiniz.

Bunun için öncelikle jail.conf dosyasında [ssh-iptables] segmesindeki enable bölümünü false yapmalısınız. Sonrasında da [ssh-tcpwrapper] bölümünde gerekli düzenlemeleri yapmalısınız. Bu bölüm CentOS'lar da şu şekilde görünmelidir.

[ssh-tcpwrapper]

enabled     = true
filter      = sshd
action      = hostsdeny
              sendmail-whois[name=SSH, dest=[email protected]]
ignoreregex = for myuser from
logpath     = /var/log/secure

Gördüğünüz gibi bu yapılandırmada action olarak hostsdeny kullanılıyor.
Değişikliklerden sonra fail2ban'ı restart edelim.

# service fail2ban restart

Bu ayarlar ile bir deneme yaparsanız ip adresiniz /etc/hosts.deny dosyasına eklendiğini görürsünüz:

ALL: 192.168.12.12

Conf dosyasında diğer bir çok servis için de tanımlama bulunmaktadır. Yukarıdaki örneklere benzer şekilde yapılandırmayı kendinize göre düzenleyebilir ve belirlediğiniz servisler için fail2ban'ı devreye alabilirsiniz.

Ben burada son olarak, conf dosyasında yapılandırması bulunmayan bir konudan bahsetmek istiyorum.

Fail2ban'ı Apache servisi için Iptables Kullanmak Üzere Yapılandırmak

Örnek olarak web sunucunuzda şifre ile korunan bir alan bulunuyor ve bu dizin için şifre denemelerinde ban uygulamasının devreye alınmasını istiyorsunuz.

Bunun için jail.conf dosyanıza şu şekilde bir tanımlama ekleyebilirsiniz.

[httpd-iptables]

enabled  = true
filter   = apache-auth
action   = iptables[name=HTTP, port=http, protocol=tcp]
           sendmail-whois[name=HTTP, [email protected], [email protected]]
logpath  = /var/log/httpd/error_log

maxretry = 3

Not: Apache virtual hostlar için düzenlendiyse log dosyanızın yerini düzgün olarak tanımladığınızdan emin olun.

Bu ayarlar ile şifre ile korunan web alanındaki login denemelerine ait kaynak ip adresleri için Iptables'a bir drop kuralı eklenecektir.
fail2ban.log dosyasında bu durum şu şekilde görüntülenir:

2010-02-01 01:13:57,487 fail2ban.actions: WARNING [httpd-iptables] Ban 192.168.12.12

Ayrıca iptables kuralı da şöyle görünür.

Chain fail2ban-HTTP (1 references)
target     prot opt source               destination
DROP       all  --  192.168.12.12       0.0.0.0/0
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Fail2ban ile ilgili genel geçer bilgiler bunlardan ibarettir. Yazının muhtelif bölümlerinde de belirttiğim gibi fail2ban'ı başka servisler ile ilgili kullanmak da mümkün. Yapmanız gereken conf dosyası içinde kendi düzenlemelerinizi yapmaktan ibaret. Dosya içerisinde aşağıdaki servislerle ilgili tanımlamalar bulunmaktadır:

sshd, apache, postfix, vsftpd, php-url-fopen, lighttpd-fastcgi, named.

Bunun yanı sıra kendi action ve filter conf dosyalarınızı oluşturarak istediğiniz gibi özelleştirmelerde bulunabilirsiniz.

Detaylı bilgi için bkz:
http://www.fail2ban.org/wiki/index.php/Main_Page

Visited 4.285 times, 1 visit(s) today
Kategoriler: *nix,Security |

Bu yazılar da ilginizi çekebilir:


- CentOS üzerine Rsyslog Kurulumu ve Yapılandırması
- Linuxlar’da SSH üzerinden Root Erişiminin Engellenmesi
- CentOS Üzerine MongoDB Kurulumu
- Rsyslog ile Merkezi Log Sunucusu Kurulumu
- IPFIREWALL ve Snort_Inline ile IPS – Part 2: Snort_Inline Kurulumu

Yorumlar


  1. P@RS | (Şubat 2nd, 2010 1:15 am)

    Hocam süper konular paylaşıyorsunuz :) sağolun konu için devam inş. böyle konular =)

    [Cevapla]

  2. Serkan Celik | (Eylül 18th, 2010 2:40 pm)

    Merhaba,

    Çok güzel bir paylaşım. Google’da arama yaparken denk geldi ve 1-2 saattir sitedeyim. Gerçekten başarılı bir site olmuş.

    Fail2ban yükledim ve rsyslog aktif ettim fakat devrede olmasına rağmen, 4-5 ssh başarısız deneme yapıyorum ve block olmuyor ip. Ya da FTP girişinde farklı bir yerden deniyorum başarısız giriş ama o da alınmıyor iptables’a.

    Ne olabilir problem? Neyi kaçırıyor olabilirim?

    Teşekkürler, iyi çalışmalar.

    Serkan

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Merhabalar,

    Yazinin “Fail2ban ve Syslog Problemi” baslikli bolumune baktiniz mi ? Eger log dosyanizda “last message repeated n times” gibi ibareler goruyorsaniz ilgili bolumde bahsedildigi gibi ban islemi gerceklesmez. Rsyslog conf (/etc/rsyslog.conf ) dosyasina $RepeatedMsgReduction off ibaresini girmek gerekir.

    [Cevapla]

    Serkan Celik tarafından yanıtlandı.

    Merhaba,

    Cevabınız için teşekkür ederim. “Fail2Ban ve Syslog Problemi” başlıklı bölümü okudum ve rsyslog.conf dosyasında, $RepeatedMsgReduction off ekli durumda.

    Loglara baktığımda şunu gördüm;

    [root@cent5lamp1 ~]# tail /var/log/messages
    2010-09-19T12:44:39.589389+03:00 cent5lamp1 root: Deneme
    2010-09-19T12:45:16.085447+03:00 cent5lamp1 rsyslogd: [origin software=”rsyslogd” swVersion=”3.22.1″ x-pid=”21527″ x-info=”http://www.rsyslog.com”] (re)start
    2010-09-19T12:45:16.082738+03:00 cent5lamp1 rsyslogd: WARNING: rsyslogd is running in compatibility mode. Automatically generated config directives may interfer with your rsyslog.conf settings. We suggest upgrading your config and adding -c3 as the first rsyslogd option.
    2010-09-19T12:45:16.084657+03:00 cent5lamp1 rsyslogd: Warning: backward compatibility layer added to following directive to rsyslog.conf: ModLoad imudp
    2010-09-19T12:45:16.085020+03:00 cent5lamp1 rsyslogd: Warning: backward compatibility layer added to following directive to rsyslog.conf: UDPServerRun (null)
    2010-09-19T12:45:16.085084+03:00 cent5lamp1 rsyslogd: Name or service not known
    2010-09-19T12:45:16.085091+03:00 cent5lamp1 rsyslogd: UDP message reception disabled due to error logged in last message.
    2010-09-19T12:45:16.085096+03:00 cent5lamp1 rsyslogd: Warning: backward compatibility layer added to following directive to rsyslog.conf: ModLoad imuxsock
    2010-09-19T12:50:02.043400+03:00 cent5lamp1 sshd[10867]: Received disconnect from ::ffff:82.145.225.7: 11: Disconnect requested by Windows SSH Client.
    2010-09-19T12:50:15.748070+03:00 cent5lamp1 sshd[21607]: Accepted password for root from ::ffff:82.145.225.7 port 65129 ssh2

    Bir de bu port dinlenmiyor mu acaba boş dönüyor.

    [root@cent5lamp1 ~]# netstat -an |grep 514
    [root@cent5lamp1 ~]#

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Selamlar,

    Rsyslog’un 514. portu dinlemesine gerek yok, cunku loglar localhost’tan gelmekte. 514. port meselesi uzaktasi sistemlerden log alabilmek ile alakali. Bu nedenle o konuda bir problem yok.

    Bunun dışında muhtemelen göznünüzden küçük bir şey kaçırıyorsunuz; yazının “Fail2ban’ı SSH servisi için Iptables Kullanmak Üzere Yapılandırmak” bölümünde anlatılanları doğru yaptığınıza emin misiniz ?

    [Cevapla]

    Serkan Celik tarafından yanıtlandı.

    Merhaba,

    [ssh-iptables]
    enabled = true
    filter = sshd
    action = iptables[name=SSH, port=ssh, protocol=tcp]
    sendmail-whois[name=SSH, [email protected], [email protected]]
    logpath = /var/log/secure
    maxretry = 3

    olarak ayarlı ve servisleri stop-start yaptığımda mail olarak da geliyor bana. fakat kesinlikle ban işlemi gerçekleşmiyor.

    fail2ban.log’a baktığımda, 2010-09-19 15:23:21,263 fail2ban.jail : INFO Jail ‘ssh-iptables’ started
    2010-09-19 15:23:21,266 fail2ban.jail : INFO Jail ‘httpd-iptables’ started
    2010-09-19 15:23:21,268 fail2ban.jail : INFO Jail ‘proftpd-iptables’ started görünüyor.

    Başka bir server için tekrar kurulum yapmayı deneyeceğim. Bir problem var ama çözemedim.

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    tail -n 100 /var/log/secure

    ne diyor peki ?

    [Cevapla]

  3. Serkan Celik | (Eylül 19th, 2010 5:39 pm)

    Boş dönüyor bir şey çıkmıyor. Acaba nerede hata? Gerçekten anlayamadım problemi.

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Selamlar,

    O durumda ssh ile ilgili loglar /var/log/secure dosyasina yazilmiyor, muhtemelen /var/log/messages dosyasina yaziliyordur. conf dosyasindan düzeltirseniz sorunsuz calismasi gerekir.

    [Cevapla]

    Serkan Celik tarafından yanıtlandı.

    Merhaba,

    var/log/messages’e yazdırtıktan sonra düzeldi. Şu an sorunsuz bir şekilde çalışıyor.
    Yardımlarınız için çok teşekkür ederim. İyi çalışmalar dilerim.

    Serkan.

    [Cevapla]

  4. yasin | (Ekim 20th, 2010 4:27 am)

    Serverım bilgim dışında başka bir ip ye Brute force attack yapıyor.Bunu nasıl engellerim ve bunun nedeni ne olabilir.

    Yardımcı olursanız. sevinirim.Teşekkürler.

    [Cevapla]

  5. Özgür ilhan | (Mart 2nd, 2011 6:14 pm)

    Elinize sağlık,

    Senelerce Microsoft sistemleriyle uğraştığımız için linux ile ilgili birşeyler yaptığımda çok zorlanıyorum ve bir çok saldırıya maruz kaldık. Adım adım anlattığınız için teşekkür ederim.

    Başarılarınızın devamını dilerim

    [Cevapla]

  6. Mucip:) | (Ağustos 6th, 2012 12:59 am)

    Merhaba Çağrı Bey,
    Öncelikle elinize sağlık. Her zamanki gibi faydalı eserlere imz atmışsınız…

    Qmail-toaster kurulu bir makinam var. Sık sık e-posta denemesi yapılıyor ve logwatch’dan e-posta ile bilgilendiriliyorum. Fail2ban denildi ve bu sayfa yardımı ile kurmaya çalıştım.

    Sistemde posta sunucumu PfSense arkasına koyduğum için Güvenlik duvarını kapatmıştım. iptables çalışması için güvenlik duvarının açılması gerekiyormuş. Ben de açtım. Elbette 25, 587, 80 gibi portları açmak kaydı ile. İnşallah unuttuğum port yoktur. Zira makina üzerinde ne ararsan var :) Hylafax, ftp sunucu, http sunucu…
    Neyse; yazınızda rsyslog kurulumunu anlatmışsınız ama ben de ön tanımlı kurulum yok. Kurmam şart mı?… jail.conf dosyasından ssh-iptables’i açtım. Denemdim ama logwatch ‘dan anlarım bir deneme olduysa.

    Ancak yazınızdaki http-iptables bölümünü dosyada göremedim! Biz mi ekleyeceğiz? Eklenebileceğini yazmışsınız ama emin olmak istedim. Kısacası ssh ve qmail-toaster üzerinden e-posta giriş denemelerini engellemek asıl gayem. Qmail ile ilgili özel bir filtre gerekiyor mu?

    Tekrar teşekkürler,
    Mucip:)

    [Cevapla]

Trackbacks

Yorumda bulunun.